Comments on: Revelan una grave falla en el algoritmo MD5

By: Eduardo

Eduardo — Mon, 05 Jan 2009 09:05:20 +0000

La verdad es que el título y el artículo no estan bien referidos, pues ademas de como muchos dicen que las colisiones en el MD5 ya eran conocidas desde hace mucho, los investigadores que hicieron esto tuvieron que obtener con mucho trabajo una llave publica que podía tener colisiones md5 y se tuvo que usar un gran poder de computo (una granja de 200 ps3), para poder a partir de la clave pública obtener la privada cosa que no es nada facil pues lleva mucho tiempo e inversión, la noticia aqui es que muy pocas compañías de ssl firman con md5, la mayoría lo hace con sha-1 que no es vulnerable a este tipo de ataques por el momento, todo esto se explica mejor aqui : El supuesto gran fallo de internet

By: Mr_Trukit0

Mr_Trukit0 — Fri, 02 Jan 2009 22:53:42 +0000

Hace bastante ya que se descubrió que MD5 era propensa a colisiones.

La única utilidad real de MD5 es para realizar checksum y en ocasiones para hacer síntesis de contraseñas mezcládolo con una función de salt en caso que alguien robe la base de datos.

By: Grave falla en el algoritmo MD5

Grave falla en el algoritmo MD5 — Fri, 02 Jan 2009 03:35:40 +0000

[...] fuente | Revelan una grave falla en el algoritmo MD5 [...]

By: D;

D; — Fri, 02 Jan 2009 02:18:13 +0000

@Shaitan
Si es fayerwayer publican cosas de mac y esta mister chips.
Por lo del md5 grave fallo se podría crackear una cantidad inesperadas de hash y obtener fácilmente contraseñas O.O

By: malienlaf

malienlaf — Thu, 01 Jan 2009 03:03:34 +0000

No seré muy avanzado en algoritmo, pero los SHA-x siempre han sido algo mas complicado que los MDx

By: ScRaSh

ScRaSh — Thu, 01 Jan 2009 01:37:06 +0000

Sorry me falto el Advanced Encryption Standard (AES)

By: ScRaSh

ScRaSh — Thu, 01 Jan 2009 01:35:51 +0000

@JRRB: Triple DES

By: mrjavo

mrjavo — Wed, 31 Dec 2008 23:25:18 +0000

en fuerza bruta vas probando una a una con todas “claves” aplicandole la funcion de hash… dado que las combinaciones son practicamente infinitas, y el algoritmo garantizaba cierta seguridad, significaba que era muy improbable que dos claves distintas generaran un mismo hash (cuando pasa se llama Colision)… pero con harta paciencia y una super computadora, se puede ir probando todas las combinaciones posibles hasta comenzar a obtener las colisiones. Es como decir q la clave “hola” y la clave “iduigdfuasgfsuagfusyadfydashdsakfkasdjfhskajhfskahfdksafjdsakjhfksaldjfhsdkadjfhaskdfjahs” generan un mismo hash. Si vas probando todas las combinaciones posibles, el año de la cocoa vas a llegar a determinar que hola y la otra clave generan el mismo hash.

Alomejor no me explique bien hahah xD

By: son

son — Wed, 31 Dec 2008 20:25:35 +0000

Me gustaria que los señores de fayerwayer me explicaran la diferencia entre la ocupacion de la palabra “hacker” para este tipo de hecho y para http://www.fayerwayer.com/2008/12/hackers-para-la-tala-ilegal-en-brasil/

Estoy viendo como me estan tergiversando.

By: chronnoz

chronnoz — Wed, 31 Dec 2008 18:13:37 +0000

y pq se necesita tanto procesador para explotar esta falla?

By: Tomás Alejandro+Del+Bianco

Tomás Alejandro+Del+Bianco — Wed, 31 Dec 2008 17:26:47 +0000

@agua_light: obviamente que eso pasa!, por eso dije que “Se consideró ireelevante”, era irrelevante, ahora quizas sea un poco preocupante, pero en 10 años, sera practicamente inservible (el md5). A lo que me referia es que el titulo del articulo dice que “revelan una grave falla”, la falla se conocia desde hace muho, solo que no era grave porque no teniamos capacidades para explotarlas.

By: Carlos

Carlos — Wed, 31 Dec 2008 16:38:01 +0000

@Coco @altair

Fijense en los links antes de emitir comentarios.

En el 1er link que postearon en la nota dice claramente: “We had about 200 PS3s at our disposal, located at the “PlayStation Lab” of Arjen Lenstra at EPFL, Lausanne, Switzerland”

Que significa “Nosotros tuvimos alrededor de 200 PS3 a nuestra disposicion, que estaban ubicadas en el “Laboratorio Playstation” del Arjen Lenstra en el EPFL, Lausanne, Suiza”

Saludos

By: agua_light

agua_light — Wed, 31 Dec 2008 16:02:14 +0000

@Tomás Alejandro+Del+Bianco: hace 10 años 500Mhz era un pc monstruo. 10 años despues es menos que un iPhone.

ese DEMASIADO poder de procesamiento llegará y mejor es solucionar el problema antes.

By: Chano

Chano — Wed, 31 Dec 2008 15:55:24 +0000

Hace casi 10 años que MD5 dejó de ser seguro!

By: Tomás Alejandro+Del+Bianco

Tomás Alejandro+Del+Bianco — Wed, 31 Dec 2008 15:21:59 +0000

No es una grave falla en el algoritmo MD5… siempre se conoció esa falla, solo que se necesita DEMASIADO poder de procesamiento para poder explotar esa falla por lo tanto se consideró ireelevante.

Saludos

By: mrjavo

mrjavo — Wed, 31 Dec 2008 15:19:11 +0000

Mas arriba tenian razon, hace super poco me toco averiguar sobre el md5 y hace rato que se sabia que habia un problema con las colisiones en la funcion de hash, y que habian logrado identificar la vulnerabilidad con una super computadora (aproposito, creo inocentemente que una funcion de hash siempre tendra tarde o temprano una colision).
Ahora falta q los phisheros se pongan mas vivos pa’ que empecemos a caer redonditos en su juego.

Varios estan optando por el SHA-1 y SHA-2 por cierto, no se si sea el caso de Wordpress

By: Fabian

Fabian — Wed, 31 Dec 2008 15:14:44 +0000

shaaaa. ta la pura cagá. !!!!!!!!!!!!!!!!!!!!!!!

By: inyaka

inyaka — Wed, 31 Dec 2008 14:16:01 +0000

¿por que todos le estan prestando atencion a la consolita esa, cuando es, lo menos importante del tema?

lo terrible de todo esto es que MD5 no sea seguro :S

por cierto mucho mas económico que 200 PS3 es una red de zombies, así seria fácil entrar a cualquier sitio :S

Wordpress ya dejo de usar MD5 aunque no se cual esta usando ahora (si alguien lo sabe que me lo diga)

By: Altair

Altair — Wed, 31 Dec 2008 13:55:09 +0000

No saben que con una (1) sola de esas consolas harían feliz a un niño en países tercermundistas?
En todo caso igual grave porque ahora el phishing va a ir con certificado como dios manda.
Aunque si alguien es tan crédulo como para caer en la vieja técnica del phishing, menos aun se va a fijar en el certificado del sitio.

By: jp

jp — Wed, 31 Dec 2008 13:49:51 +0000

No pongo nunca más billetera al lado de mi PS3

By: blopanomas

blopanomas — Wed, 31 Dec 2008 13:38:01 +0000

¿ sha-2?, ¿ sha-3?…SHAAAAAAAAAAACOTEROS que se ponen los hackers

By: Javier

Javier — Wed, 31 Dec 2008 13:14:40 +0000

Y quien eligió a las CA verdaderas??

By: Coyote78

Coyote78 — Wed, 31 Dec 2008 12:47:13 +0000

@coco

Si te fijas, lo que realizaron con las 200 PS3 fue un cluster, para generar una “Supercomputadora”, lo cual a pesar de ser un costo muy alto para nosotros como simples mortales, para una empresa o universidad, debe haber signifacado un ahorro mayusculo, en comparacion de adquirir servidores dedicados para dicha operacion

PS3, es la consola más potente hoy por hoy, a pesar de que no le vaya bien en ventas, y por lo mismo deben haberla seleccionado.

By: delm

delm — Wed, 31 Dec 2008 12:18:57 +0000

Solo una nota técnica. Un certificado digital nunca ha sido significado de seguridad ni menos de autenticidad.

Lo único que un certificado digital asegura es que lo que tu envíes solo será leído por la persona que emite el certificado. Esto es decir, que no prueba de ninguna manera que el emisor del certificado es quien dice ser.

Este hack es solo una prueba de concepto y la única utilidad “práctica” que se me ocurre es que realicen un phishing con certificados falsos… pero de todas formas siempre pudieron hacer certificados verdaderos.

By: coco

coco — Wed, 31 Dec 2008 12:09:18 +0000

Y quien les habra prestado las 200 PS3? Pq son mas de 50 palos solo en consolas… uhmmmm…

By: Shaitan

Shaitan — Wed, 31 Dec 2008 12:04:09 +0000

yo no quiero hacer ningun comentario hasta que me aseguren que esta pagina es realmente fayerwayer… yo creo que debe ser de las primeras en intentar ser impostadas para obtener nuestros datos.

By: rodrigo

rodrigo — Wed, 31 Dec 2008 11:55:58 +0000

un sitio es seguro hasta que se hackeado. no existe la varita magia para la seguridad.

By: JRRB

JRRB — Wed, 31 Dec 2008 11:54:06 +0000

Hoy por hoy que es 100% seguro?.
De todas maneras este es un golpe más para toda las empresas “pagadas” de seguridad”, que se echan en los huevos, que sería si no fuera por los hackers.
En fin habra que exigir nuevas medidas de seguridad.

By: Harold

Harold — Wed, 31 Dec 2008 11:50:35 +0000

my gosh

By: Jaime M-F

Jaime M-F — Wed, 31 Dec 2008 11:33:07 +0000

BruteForce!, como siempre hay que andar actualizando las funciones de hash, MD5 ya tuvo su epoca